A következő hónaptól kezdve a frissített Windows operációs rendszerek nem fogják elfogadni azokat a kulcsokat, amelyek kisebbek 1024 bitnél, ami viszont problémákat okozhat, ha az ügyfelek hozzá akarnak férni egyes webes alkalmazásokhoz vagy az elektronikus leveleikhez. A titkosítási házirend megváltozása a Microsoft válasza arra a biztonsági hiányosságra, amely Flame malware támadása után került napvilágra, és érinti az Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows Server 2008 R2 és a Windows 7 operációs rendszereket.

A Flame káros szoftver elemzése azt sugallja, hogy bizonyos dolgokban hasonló, de lényegesen összetettebb, mint a Stuxnet, amit 2010-ben fedeztek fel. Az elődjével szemben, a Flame célja kizárólag a kémkedés volt: képernyőképek készítése, beszélgetések rögzítése, dokumentumok és email-ek gyűjtése, illetve ezek továbbítása. A Flame felbukkanása alkalmat ad a különböző vállalati és kormányzati szervezeteknek, hogy meggyőződjenek a biztonsági intézkedéseik mennyire lennének képesek védekezni egy ipari kémkedésre készített malware ellenében. A Kaspersky Lab négy lehetséges fertőzési forrást jelölt meg:

  • USB meghajtón keresztül
  • spear phishing email
  • káros weboldalon történt látogatás
  • helyi hálózaton keresztül másik számítógép által

Mikko Hypponen az F-Secure kutatási vezetője úgy véli, elég bizonyíték mutat arra, hogy az Egyesült Államok ügynökei beszivárogtak a Microsoft-hoz. A szakember az elméletét egy sor olyan eseményre alapozza, amely a Flame nevű óriás kártevő felfedezése után kerültek nyilvánosságra. A Flame/Skywiper kártevőt sokan a Stuxnet-hez és a Duqu-hoz hasonlították, amelyek szintén elsősorban Iránban illetve a környező országokban terjedtek el.

Amikor a Flame malware felfedezését bejelentették két héttel ezelőtt, arról szóltak a hírek, hogy "rendkívül fejlett", "supermalware", "a legnagyobb káros szoftver a történelemben". Ezek a kommentek más szakértőkből csak gúnyt váltottak ki, és rámutattak arra, hogy semmi különös újdonság vagy érdekes nem volt a Flame-ben. Valójában a mérete az egyetlen, ami igazán egyedivé teszi. Egyesek azt is nevetséges felvetésnek tartják, hogy a Flame valamelyik ország titkosszolgálatának a műve lehet. De lássunk pár konkrét dolgot, amit az elmúlt két hétben kiderítettünk.

A kutatók, akik beleásták magukat a nem régen felfedezett Flame/sKyWIper féregbe, azt állítják, hogy bizonyítékuk van arra, hogy a kártevőt kapcsolatba lehet hozni a korábban hírhedté vált Stuxnet-tel. A Kaspersky Lab szakértői véleménye szerint az a kritikus modul, ami a Flame terjesztését végzi, azonos azzal, amit egy 2009-ben felfedzetett korai verzió a Stuxnet.a használt, egy évvel azelőtt, hogy a férget egy fehérorosz anti-vírus cégnél, a VirusBlokAda-nál felismerték volna.

A Flame káros szoftvert, amely elsősorban Iránban terjedt el, az elemzések szerint csak világszínvonalú kriptográfusok voltak képesek létrehozni. Legalábbis ezt állítja a világ két vezető szakértője. A malware egy korábban nem ismert MD5 sérülékenységet használt ki. "A felhasznált ütközés (collision) támadás nagyon érdekes tudományos szempontból, és van némi gyakorlati vonatkozása."

A Flame/sKyWIper féreg készítői a jelenleg is irányításuk alatt lévő fertőzött gépeket arra utasították, hogy töltsenek le és futtassanak egy olyan komponenst, amely eltünteti az összes fertőzésre utaló nyomot, ezzel megelőzve a nyomozást. A Symantec kutatói szerint a káros szoftvernek van egy beépített SUICIDE elnevezésű eszköze, amely képes törölni a programot a gépről.

Eugene Kaspersky, a legnagyobb európai anti-vítus cég a Kaspersky Lab alapítója, aki részt vett a főleg Irán és más közel-keleti államokban fertőző a Flame/sKyWIper féreg felfedezésében. Állítása szerint csak egy kormáyzat által támogatott programozók képesek ilyen kifinomult kártevőt írni. Ahhoz a Stuxnet-hez hasonlítja a most felbukkant férget, amit az Egyesült Államok és Izrael készített, és véleménye szerint komoly súlyt ad korábbi állításainak, amely szerint nagyon komoly veszélyeket hordoznak magukban az olyan esetek, amikor nemzeti kormányok készítenek és engednek szabadon vírusokat az Interneten. Úgy véli, hogy a kiberfegyverek lesznek a legveszélyesebb fegyverek ebben az évszázadban.

A Microsoft kiadott egy rendkívüli Windows frissítést vasárnap, miután kiderült, hogy az egyik digitális aláírásukat használták fel a főleg Iránban és egyéb közel-keleti országokban elterjedt Flame malware hitelesítésének igazolására. A kihasznált sérülékenység a Terminal Server-ben van, amit számtalan üzleti felhasználó használ arra, hogy távolról elérjék a számítógépeket. Azzal, hogy egy meg nem nevezett titkosítási algoritmust támadtak, amellyel a Microsoft a szolgáltatások számára ad ki tanúsítványt, a támadók képesek voltak létrehozni egy köztes tanúsítvány hitelesítőt, ez pedig tartalmazta a Microsoft saját root tanúsítvány hitelesítését.

Izrael visszautasítja azokat a vádakat, hogy ők készítették volna a nagyon kifinomult Flame kártevőt, amely számos közel-keleti országban bukkant fel. Jelenleg úgy tűnik, hogy a malware nem lopja el az áldozatok pénzét, és nem csinál semmilyen tipikus műveletet, ami azt a benyomást kelti, hogy nem egyszerűen bűnözők által készített programról van szó, hanem valamelyik nemzeti kormány áll mögötte.